爲何DevSecOps是企業安全團隊的「得力助手」?

在開發軟件和應用程序時，安全永遠不該該是過後纔想到。然而，隨着技術的不斷進步，許多人所依賴的安全工具正在實時發生變化，如今須要新的策略來在產品出現以前消滅潛在的漏洞或黑客攻擊。爲了領先於網絡犯罪分子者一步，是時候從新構想從「DevOps」到「DevSecOps」的應用程序開發流程了。html

DevOps是軟件敏捷開發生命週期的演變，它在開發和運營團隊之間架起了橋樑。它打破了孤島，並提升了企業以比傳統軟件開發模型更快的速度交付應用程序和服務的能力。傳統的「瀑布方法」須要很長的前期週期，致使過程繁瑣乏味——當這些解決方案被認爲能夠發佈時，市場可能已經發生了翻天覆地的變化。安全

今天，敏捷軟件團隊的發佈週期只有幾天或幾小時，這增長了編寫代碼缺陷和引入漏洞的風險。那麼，組織如何在保持快速地開發效率的同時，生成更安全的代碼和應用程序，並在他們還不知道這些攻擊是什麼樣的狀況下阻止潛在的網絡攻擊?markdown

爲了增強其產品、解決方案和合做夥伴的網絡安全，公司有必要從DevOps文化轉變爲「DevSecOps」文化。網絡

從頭開始，保持安全

DevSecOps 將安全性置於整個開發過程的最前沿，確保良好的網絡安全，是軟件開發過程當中，開發人員和運營商始終要首先考慮的因素。這種思惟方式的轉變鼓勵企業尋找開發安全代碼和應用程序的最佳方法——而且有各類資源和策略能夠幫助開發團隊作到這一點。app

四點安全解決方案

安全框架：從路線圖開始老是最好的——經過尋找第三方資源以得到最佳實踐，企業能夠確保他們的軟件幾乎能夠應對任何狀況。例如，在成熟度模型中的構建安全性，又名 BSIMM，是一個很好的資源，它列出了120多個安全最佳實踐，例如經過靜態代碼安全檢測和動態分析進行的自動化安全測試，以幫助開發團隊在設計解決方案時將這些安全工具放在首位.。框架

安全代碼培訓：開發人員不知道他們不知道的那些部分，所以企業能夠對他們進行關鍵威脅和最佳實踐的培訓。經過實施持續的安全意識培訓，確保團隊已作好充分準備以檢測和糾正其代碼和產品中的任何漏洞。工具

安全門：在DevOps構建過程當中，安全門能夠阻止發佈——讓安全和工程團隊有足夠的時間來肯定這些錯誤的嚴重程度將破壞整個構建。實施安全門將幫助團隊在發佈前準確肯定須要修復的內容。oop

實施多層安全策略：爲了確保全面的安全，企業必須讓安全成爲每一個人的責任。例如，能夠首先爲開發人員提供在編寫代碼時檢測漏洞的工具，而後利用內部團隊按期運行靜態代碼安全檢測和動態應用程序安全工具。爲了增長安全性，組織能夠引入外部測試人員來執行黑盒和灰盒測試;或者，他們能夠創建一個漏洞賞金計劃，並支付安全研究人員的費用來尋找更難發現的漏洞。post

爲何要認真檢查第三方代碼庫

Apache Struts、Telerik UK(第三方 .NET庫)等第三方庫對企業來講既是福也是禍。一方面，組織能夠利用他人構建的內容，對其進行調整並在此基礎上創造更豐富的體驗，而無需從頭開始製做一切。測試

另外一方面，從代碼庫中引入惡意代碼也十分容易，所以須要不斷更新和升級庫，並及時修補漏洞，以維護「乾淨」的代碼庫。開發人員將須要更新工具包，以確保按期和實時修補第三方材料的漏洞，由於即便您的團隊或合做夥伴最輕微的疏忽也可能致使最嚴重的漏洞。

事實上，網絡安全和基礎設施安全局 (CISA) 最近發佈了一份最常被利用的軟件漏洞列表，Apache Struts是列表中第二大受攻擊技術。攻擊者還常常利用開源Web服務中的漏洞，例如捆綁在無數產品中的Apache Tomcat。

正在進行的打地鼠遊戲

今天不存在的威脅和攻擊方式明天將極可能利用您系統中的漏洞。然而，經過將安全放在首位並實施DevSecOps文化，企業能夠更好地在威脅出現時緩解威脅，並在它們形成任何問題以前中斷網絡攻擊。

下一波威脅即將到來，您的企業準備好了嗎?

參讀連接：

www.woocoom.com/b021.html?i…

threatpost.com/apps-built-…